Règlement européen sur la protection des données : ce qui va changer pour les internautes

Publié le 30 mai 2016 par Charles de Laubier

Le règlement européen sur la protection des données – proposé il y a plus de quatre ans par la Commission européenne – a été publié au J.O. de l’Union européenne le 4 mai. Il sera applicable sur toute l’Europe le 25 mai 2018. Il renforce les droits des Européens sur leurs données personnelles.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Ayant constaté l’existence d’une fragmentation dans la mise en oeuvre de la protection des données à caractère personnel dans l’Union européenne (UE), la Commission européenne a soumis le
25 janvier 2012 (1) au Parlement et au Conseil européens une proposition de règlement européen « relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données ».

Renforcement des droits de la personne
Cette nouvelle législation a fait l’objet d’un accord informel en trilogue le 17 décembre 2015, et a été votée définitivement le 14 avril dernier et publiée le 4 mai au Journal officiel de l’UE. L’une des avancées majeures du règlement « Protection des données » – entré en vigueur 20 jours après sa publication (soit le 24 mai), pour être applicable dans tous les pays de l’UE le 25 mai 2018 (les entreprises ont donc deux années entières pour s’y préparer) – est sans conteste le renforcement des droits de la personne.
Dans un univers dématérialisé où tout devient possible en quelques clics, l’UE avait dans une directive, dès 1995, souhaité protéger l’individu en lui accordant un certain nombre de droits. Elle prévoyait ainsi :
• un droit à l’information qui consiste en l’obligation, pour le responsable de traitement, de fournir certaines informations énumérées dans la directive ;
• un droit d’accès qui est le droit pour la personne concernée de réclamer de la part du responsable de traitement la consultation de certaines informations portant sur ses données personnelles et sur le traitement de ses données ;
• un droit de rectification qui consiste en la possibilité pour la personne concernée
de demander la rectification, l’effacement ou le verrouillage des données qui sont incomplètes ou inexactes ;
• un droit d’opposition qui est le droit pour la personne concernée de s’opposer à
tout moment à ce que ses données fassent l’objet d’un traitement, pour des raisons légitimes. Pourtant, comme le soulignait Viviane Reding en 2012, lorsqu’elle était encore commissaire européenne à la Justice, aux Droits fondamentaux et à la Citoyenneté, les citoyens « n’ont pas toujours le sentiment de maîtriser entièrement
les données à caractère personnel les concernant ».
En effet, qui n’a pas déjà reçu des publicités dans sa boîte aux lettres sans que l’on n’ait jamais ni effectué d’achats chez l’émetteur de publicités ni donné ses informations personnelles telles que les nom, prénom, et adresse ? Qui n’a pas réceptionné des appels téléphoniques inconnus dont l’objet est de promouvoir un produit, ou de vous solliciter pour un sondage téléphonique, l’interlocuteur connaissant déjà vos nom et prénom sans même que vous ne l’ayez déjà contacté de votre vie, ou sans même que les prestataires de services professionnels avec qui vous avez contracté ne vous ait prévenu de la communication de vos informations à ces tiers précisément ?
Pour remédier à ce problème de maîtrise des données, le règlement prévoit un chapitre entier sur les droits de la personne concernée, ce que ne faisait pas la directive de 1995, laquelle se contentait de placer les droits de la personne concernée dans un chapitre intitulé « Conditions générales de licéité des traitements de données à caractère personnel ».
Le renforcement des droits de la personne concernée se fait en accentuant les droits préexistants de celle-ci, par exemple en prévoyant une meilleure transparence quant
à la communication des informations relatives au traitement des données à caractère personnel, ou encore en rallongeant la liste des informations à fournir à la personne concernée.

Quatre principaux nouveaux outils
Mais surtout, le règlement européen lui octroie de nouveaux droits :
• Un droit à l’information lors de l’apparition de failles de sécurité.
Ainsi, le droit à la notification d’une violation de ses données à caractère personnel semble aujourd’hui indispensable, alors que l’on ne compte plus le nombre d’entreprises victimes de failles de sécurité relatives aux informations sur leur clientèle : noms, adresses, numéros de téléphone ou encore données bancaires se retrouvent alors publics.
• Un droit d’opposition à une mesure fondée sur le profilage.
Au-delà des failles de sécurité dont peuvent être victimes les entreprises, les internautes doivent, aussi, à leur échelle, faire preuve de vigilance. En effet, au travers des historiques de navigations, des blogs, des réseaux sociaux ou des moteurs de recherche, ils dévoilent, sans souvent en avoir pleinement conscience, des pans entiers de leur vie privée. Or ces informations se révèlent souvent précieuses puisqu’elles pourront être valorisées, alimentant ainsi une véritable économie des données. En ce sens, le « profilage », destiné à évaluer et analyser certains aspects personnels afin d’orienter les publicités selon les intérêts ou de prévenir certains comportements illicites peut être source d’erreurs ou d’abus. C’est dans cet objectif que le Règlement prévoit une obligation d’information spécifique en matière de profilage ainsi que la possibilité
de s’y opposer.
• Un droit à l’« effacement » numérique.
Comme le souligne la CNIL dans son rapport d’activité 2013, « la circulation d’informations concernant une personne peut avoir de graves conséquences sur sa
vie privée et professionnelle, parfois plusieurs années après les faits ». Aussi, le Règlement européen vient consacrer un « droit à l’effacement » qui permettra à la personne concernée, selon des motifs limitativement énumérés, d’obtenir l’effacement de données personnelles la concernant et la cessation de la diffusion de ces données. La consécration de ce nouveau droit par le Règlement achève ainsi une évolution nécessaire au regard de la protection de la vie privée des citoyens européens.
• Un droit à la portabilité de ses données.
Ces nouveaux droits sont primordiaux en ce qu’ils permettent à la personne concernée d’exercer un contrôle ex post sur ses données. La personne concernée a le droit de se voir communiquer ses données personnelles par le responsable de traitement, sous un format « structuré, couramment utilisé et lisible par machine » afin de faciliter leur transfert vers un autre prestataire de services si elle le souhaite et sans que le responsable de traitement ne puisse s’y opposer. L’objectif ici est d’éviter à la personne concernée de se lancer dans une fastidieuse récupération manuelle de ses données qui pourrait l’inciter à renoncer à changer de prestataire.

« Education » et « hygiène informatique »
Ces nouveaux outils doivent cependant s’accompagner d’une part, d’une « éducation » à la protection des données, et d’autre part, de la promotion d’une certaine « hygiène informatique », selon l’expression consacrée par l’ANSSI (2), qui permettra à la personne concernée de fixer elle-même les frontières de sa vie privée.

Le règlement européen tient aussi compte de l’invalidation du « Safe Harbor » (3) (décision CJUE du 6 octobre 2015 (4). et ses conséquences en consacrant son chapitre V au transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales L’invalidation de cette décision a conduit la Commission européenne et le gouvernement américain à conclure un accord visant à assurer un niveau de protection suffisant aux données transférées de l’UE vers les Etats-Unis appelé « Privacy Shield ».

Articulation avec le « Privacy Shield »
Le G29 réunissant les « Cnil » européennes, qui avait publié son avis le 13 avril 2016 sur le niveau de protection des données personnelles assuré par le « Privacy Shield » (5), a cependant rappelé qu’il devrait tenir compte du règlement européen sur les données personnelles – lequel n’avait pas encore été adopté au moment de la publication du « Privacy Shield ». L’article 45 du règlement énonce les critères à prendre en compte par la Commission européenne lors de l’évaluation du caractère adéquat du niveau de protection des pays tiers à l’Union. Au nombre de ces critères,
on trouve « le respect des droits de l’homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, y compris en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal ainsi que l’accès
des autorités publiques aux données à caractère personnel (…) ».
Outre le renforcement de la sécurité juridique, on notera que le règlement vise à : réduire la charge administrative des responsables de traitement de données, faire peser davantage de responsabilité sur les sous-traitants, renforcer l’exercice effectif par les personnes physiques de leur droit à la protection des données les concernant au sein de l’UE (notamment leur droit à l’effacement et leur droit d’exiger que leur consentement préalable, clair et explicite soit requis avant l’utilisation de leurs données personnelles), améliorer l’efficacité de la surveillance et du contrôle de l’application des règles en la matière (6).
Le règlement aura d’autant plus d’impact qu’il s’appliquera, dès le 25 mai 2018, de manière uniforme dans l’ensemble des pays de l’UE, sans devoir être transposé en droit national (7). Son champ d’application s’étendra au-delà des frontières des Vingt-huit puisque, désormais, des entreprises ayant leur siège social en dehors de l’UE pourront se voir appliquer le règlement dès lors que les données qu’elles traitent concernent des résidents de l’UE, ce que ne prévoyait pas la directive. @

* Ancien bâtonnier du Barreau de Paris.

Société de l’information : vers une généralisation du signalement des incidents de sécurité

Publié le 1 février 2016 par Charles de Laubier

L’Union européenne va adopter deux textes majeurs qui vont étendre et renforcer les responsabilités des entreprises et des acteurs du Net dans la société de l’information : la nouvelle directive « Cybersécurité » et le règlement « Protection des données personnelles ».

Par Christophe Clarenc, cabinet Dunaud Clarenc Combles & Associés

Les prochaines adoptions, d’une part, de la nouvelle directive
en faveur d’un niveau élevé commun de sécurité des réseaux
et systèmes d’information, et, d’autre part, du règlement général sur la protection des données personnelles confirment un renforcement de la cyber-responsabilité des entreprises à travers notamment une généralisation de l’obligation de signaler les incidents et violations de sécurité.

Comment Facebook a inventé la propriété des données personnelles qui n’existe pas encore !

Publié le 23 février 2015 par Charles de Laubier

Acheté il y a tout juste 10 ans pour 200.000 dollars, Facebook.com pèse aujourd’hui 212 milliards de dollars en Bourse. Grâce au « don » – gracieux –
que lui accordent ses 1,4 milliard d’« ami(e)s », le réseau social a empoché
12,46 milliards de dollars l’an dernier. Mais il y a un vrai « déséquilibre ».

C’est en août 2005 que Mark Zuckerberg (photo)
et ses coéquipiers ont acheté le nom de domaine
« facebook.com », qui fut créé huit ans auparavant
et qui remplacera « thefacebook.com » d’origine.
Dix ans plus tard, la firme de Palo Alto est un géant du
Net – le « F » de GAFA – avec 3 milliards de dollars de bénéfice net l’an dernier (1). Pourtant, le réseau social
– aux 1,4 milliard d’utilisateurs dans le monde – est gratuit mais il brasse des milliards grâce aux recettes publicitaires.

Déséquilibre flagrant en faveur de Facebook
Or chacun a fait « don » de ses données personnelles, sans contrepartie financière mais seulement en échange de l’utilisation gratuite de cet outil. Pour certains juristes,
il y a là un déséquilibre qui ne pourra pas durer. « Facebook déclare qu’il est propriétaire de l’ensemble des données – à la fois dans sa valorisation boursière et dans sa valorisation contractuelle. Il y a bien une monétarisation qui n’est plus basée sur le don mais bien sur l’échange de valeurs. Cette rupture entre cette logique du don est un système biface sur le plan économique : une face en don et une face en échange. Le système est en train de se déséquilibrer », affirme Alain Bensoussan, avocat et président de la société éponyme (2). Ardent défenseur de l’idée de propriété des données à caractère personnel, il dénonce ce déséquilibre et considère Facebook comme emblématique. « Il n’y a de capacité d’exister dans une démocratie que s’il y
a une propriété. Or, si quelqu’un fait de la valeur avec mes données, et surtout mes données évoluant dans le temps, cette valeur-là ne peut pas être asymétrique en droit. Il va bien falloir, à un moment donné, passer de la logique du don à la logique de l’échange », a-t-il plaidé le 19 novembre dernier, lors d’un séminaire au DigiWorld Summit de l’Idate. Or, fait-il remarquer, la propriété des données personnelles n’existe nulle part dans le monde, alors que tout le monde dit : « Ce sont mes données, mes informations ». Il y a un possessif énorme (« mes coordonnées », « mon nom », « mon adresse », « ma signature », …) et pourtant ce « droit naturel » n’existe pas. Pas plus qu’il existe de protections juridiques des données personnelles telles que les brevets pour les inventions ou de droit d’auteur pour les contenus. Mais il y a bien un débat qui commence 2008 avec le réseau social de Mark Zuckerberg : « Le premier à donner des droits universels [sur nos données personnelles] et à les reconnaître, c’est Facebook ! Les Etats dans le monde ne les ayant alors pas encore mis en place. Pourquoi Facebook fait-il cela ? Tout simplement pour créer de la confiance dans l’utilisateur, lequel pense qu’il a un droit de reprise – alors qu’il n’a aucun droit de reprise – et qu’il
a un droit d’accès – alors qu’il a faiblement des droits d’accès. Facebook a créé les éléments d’une création d’un “juris-système”, parce que ce droit-là est parfaitement opérationnel », a expliqué Alain Bensoussan. Les 1,4 milliard de personnes ont
accepté l’économie du don : « Je te donne mes données qui m’appartiennent et,
en contrepartie, tu me prêtes tes services ». L’économie numérique commence par cette économie du don, laquelle apparaît aujourd’hui asymétrique et déséquilibrée.
Or, l’avocat, fait remarquer que « dans le contrat mondial de Facebook, il y a un article 1 qui stipule : “Vous restez propriétaire de vos données et Facebook n’a qu’une licence gratuite et non exclusive” ». En conséquence : « En vous accordant une licence à vos données, Facebook reconnaît implicitement que vous êtes propriétaire d’une propriété qui n’existe pas légalement ! ». Google, YouTube, Twitter, LindedIn, Instagram et les autres réseaux sociaux ont copié à leur tour Facebook. Tous reconnaissent le droit universel de chacun d’entre nous à être propriétaire de ses données, sachant qu’il n’y aucun Etat régalien qui le reconnaisse encore… Certains disent qu’il est impossible d’être propriétaire des données personnelle parce que ce sont des éléments qui tiennent à la qualité de l’homme : un droit de la personnalité, oui ; un droit de propriété, non. On ne vend pas ses organes ; on ne peut pas vendre ses données.

Vers un droit à la maîtrise de ses données
Pour Alain Bensoussan, il y a là un paradoxe d’analyse : « Je défends l’idée que
l’on est chacun propriétaire de ses données à caractère personnel, et que les droits naturels naissent avant les droits légaux. C’est un problème de droits de l’homme numérique ». La question est posée, même si le Conseil d’Etat – dans son rapport
« Le numérique et les droits fondamentaux » de septembre 2014 – recommande de
ne pas aller vers le droit à la propriété des données personnelles, lui préférant « un droit à l’autodétermination » (3). Or cela pourrait être un premier pas vers l’extension
de la propriété – consacrée en 1789 – aux données personnelles. Ce serait alors une révolution ! @

Charles de Laubier

Comment Google limite le droit à l’oubli en Europe

Publié le 23 février 2015 par Charles de Laubier

En fait. Le 6 février dernier, le conseil consultatif auprès de Google sur le droit
à l’oubli – où l’on retrouve parmi les huit experts Sylvie Kauffmann, directrice éditoriale du quotidien Le Monde, et Jimmy Wales, fondateur et président de Wikimedia Foundation – a publié son rapport sur le droit à l’oubli.

En clair. Le comité d’experts mis en place l’an dernier par Google (1) veut limiter les effets de l’arrêt du 13 mai 2014 de la Cour de justice de l’Union européenne (CJUE)
qui oblige les plateformes du Net – dont les moteurs de recherche – à déréférencer
les données personnelles des candidats à l’oubli. Dans leur rapport, les huit experts préconisent que Google supprime de son moteur de recherche uniquement les informations se situant sur ses sites européens – « google.fr », « google.de »,
« google.es », … – mais pas sur les autres tels que « google.com ». « La pratique générale en Europe est d’orienter les utilisateurs – tapant www.google.com sur leur navigateur – automatiquement vers une version locale du moteur de recherche. Google nous a dit que plus de 95 % de toutes les requêtes provenant d’Europe sont faites sur les versions locales », a expliqué le conseil consultatif.
Ce qui va à l’encontre des dispositions d’envergure mondiale prononcées par la CJUE
il y a neuf mois maintenant. Ces recommandations profitent des imprécisions de la directive européenne de 1995 sur « la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données » (2) quant à la responsabilité de celui chargé du traitement d’assurer et du respect entourant les données à caractère personnel (article 6 de la directive). Le comité d’experts a en outre identifié quatre critères pour supprimer – ou pas – les données : vie publique du demandeur, nature de l’information, la source, le temps au sens de
la date.
Pour l’heure, la firme de Mountain View se plie partiellement aux injonctions de la CJUE en accédant à une partie seulement des demandes de suppression qui lui sont faites.
A fin 2014, plus de 170.000 demandes ont déjà été soumises à Google en Europe,
dont environ 30 % provenant de France – le premier pays en nombre. Mais le géant du Web oppose en effet une fin de non-recevoir à plus de la moitié d’entre elles. Ce qui lui a valu une première condamnation le 19 décembre dernier, par le tribunal de grande instance de Paris, à retirer les liens concernant une plaignante. C’est que les demandes affluent depuis que Google a mis en ligne son formulaire (3) pour permettre à ceux qui le souhaitent d’exercer leur droit à supprimer des résultats de recherche leur nom et autres données personnelles. @

Cookies : le consentement préalable inquiète Nick Leeder, le DG de Google France

Publié le 17 novembre 2014 par Charles de Laubier

En fait. Le 28 octobre, Nick Leeder, DG de Google France, était parmi les invités de l’Association des journalistes économiques et financiers (AJEF). EM@ en a profité pour lui demander si le projet européen de « consentement préalable obligatoire » pour les cookies l’inquiétait pour l’avenir de la pub en ligne.

En clair. « C’est une bonne question. Cela peut impacter le business de Google, mais cela va nous toucher beaucoup moins que bien d’autres acteurs », nous a répondu Nick Leeder (photo), le DG de Google France depuis avril 2013.
« Je pense que cela ne va pas vraiment impacter l’activité de moteur de recherche de Google, le search. Mais cela peut toucher beaucoup plus les autres, par exemple les sites web de journaux qui utilisent les cookies pour mieux améliorer leur niveau de monétisation : tout ce qui est publicité display [bannières notamment, ndlr] peut être très impacté », a-t-il prévenu.

Edition Multimédi@

Economie numérique et Nouveaux médias

Archives par mot-clé : Données personnelles